Alineando el Gobierno, Riesgo y Cumplimiento de TI con COBIT 5 Caso de Estudio Ecopetrol Alberto León Lozano, Oficial de Cumplimiento de TI Vicepresidencia de Innovación y Tecnología, Ecopetrol (Colombia)

Jornadas Técnicas Noviembre 5 y 6 de 2014 Madrid, España

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 1

Información de la Compañía 

Ecopetrol es la compañía más grande de Colombia y es una empresa integrada en la cadena del petróleo.



Ubicada entre las 40 petroleras más grandes del mundo y entre las cuatro principales en Latinoamérica.



Además de Colombia, presencia en actividades de exploración y producción en Brasil, Perú y Estados Unidos.



Ecopetrol cuenta con la mayor refinería de Colombia, la mayor parte de la red de oleoductos y poliductos del país.



Está incrementando significativamente su participación en biocombustibles.

www.ecopetrol.com Información General

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 2

Información general de la Compañía 

Más de 400.000 accionistas



Más de 7.000 trabajadores de planta



Más de 24.000 contratistas



Dispersión geográfica



Operaciones internacionales



Regulación local e internacional

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 3

Contexto Empresarial 

Dinámico



Retador



Demandante



Complejo



Importante

ISACA Madrid - Jornadas Técnicas 2014

Exige Gestión

 Gobierno  Riesgo

 Cumplimiento Caso Ecopetrol - A,León - Pág. 4

Adopción de Marcos de referencia 2007 Se adopta el modelo COSO para gestión de control interno 2008 Se adopta el modelo COBIT para gestión de gobierno, riesgos y cumplimiento en TI. 2009 Se implementan los procesos y objetivos de control básicos 2010 Se diseñan procesos y servicios de TI basados en ITIL 2011 Se inicia optimización con Servicios Compartidos de TI e integración de la Gestión por Procesos en el Sistema Integral de Gestión y Control empresarial ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 5

Implementación COBIT 4.1

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 6

Sistemas de Gestión en Ecopetrol - 2009 COSO

Sistema de Control Interno

Ley Sox

Sistema de Gestión de Calidad

Sistema de Gestión de Tecnología de la Información

Sistema de Gestión Integral de Riesgos

Modelo de Procesos

Alineación y articulación de los Sistemas de Gestión y Control existentes.

CobiT Control Objectives for Information and related Technology

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 7

Se implementaron los Procesos de TI, incorporando los Objetivos de Control COBIT 4.1

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 8

Objetivos PO4 AI2 AI3

AI4 AI6 AI7

DS2 DS4 DS5

DS8 DS9 DS11

DS12 DS13 ME1

Objetivos de control específicos Definir procesos, organización y relaciones Adquirir y mantener software aplicativo Adquirir y mantener infraestructura de TI Facilitar la operación y el uso Administrar cambios Instalar y acreditar soluciones y cambios Administrar servicios de terceros Asegurar servicio continuo Asegurar seguridad a los sistemas Administrar mesa de servicios e incidentes Administrar la configuración Administrar datos Administrar el ambiente físico Administrar las operaciones Supervisar y evaluar los procesos de TI Total

ISACA Madrid - Jornadas Técnicas 2014

Controles 8 20 5 6 5 9 5 4 18 11 1 5 2 3 8 110

Se priorizaron los Controles sobre los Riesgos clave relacionados con Integridad, Confidencialidad y Disponibilidad de la Información Caso Ecopetrol - A,León - Pág. 9

Se Identificaron las aplicaciones relacionadas con los flujos de información financiera – contable, cubriendo todos los procesos de negocio

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 10

Plan de Trabajo 2009 Actividades

Enero Enero

Feb

 Diseño de 28 Procesos  Implementación de 14 Procesos SOX  Capacitación, divulgación y refuerzo  Implementación Procesos Adicionales  Operación SGTI

Marzo

Abril

Mayo

Junio

Julio

Agosto

Sep

Oct

Nov

DIC

Se realizó del Diseño e Implementación de los Procesos para integrar el Sistema de Gestión de TI

 Soporte SGTI

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 11

Diseño de los procesos - Entregables (Guía de documentación – “Norma 0”)

ISACA Madrid - Jornadas Técnicas 2014



Ficha de Caracterización



Diagrama de Flujo



Narrativa



Matriz de Riesgos y Controles



Normativa



Medición de Madurez



Matriz RACI



Material de Entrenamiento (ejemplo>>) Caso Ecopetrol - A,León - Pág. 12

Sostenibilidad – Matriz RACI ID PO2 PO4 PO7 PO8 PO9 PO10 AI1 AI2 AI3 AI4 AI5 AI6 AI7 DS1 DS2 DS3 DS4 DS5 DS7 DS8 DS9 DS10 DS11 DS12 DS13 ME1 ME2 ME3

Descripción Definir la Arquitectura de la Información Definir procesos, organización y relaciones de TI Administrar recursos humanos de TI Administrar la calidad Evaluar y administrar riesgos de TI Administrar proyectos Identificar soluciones automatizadas Adquirir y mantener software aplicativo Adquirir y mantener la infraestructura tecnologica Facilitar la operación y el uso Adquirir recursos de TI Administrar cambios Instalar y acreditar soluciones y cambios Definir y administrar los niveles de servicio Administrar servicios de terceros Administrar desempeño y capacidad Garantizar la continuidad del servicio Garantizar la seguridad de los sistemas Educar y entrenar a los usuarios Administrar la mesa de servicios e incidentes Administrar la configuración Administrar los problemas Administrar los Datos Administrar el ambiente físico Administrar las operaciones Monitorear y evaluar el desempeño de TI Monitorear y evaluar el control interno Garantizar cumplimiento regulatorio

ISACA Madrid - Jornadas Técnicas 2014

Dirección UIE UID A A A A A A A A A A A A A A A A A A A A A A A A A A A A

C C I I C R R R C R R R R R R C R I R C I C C I I C R C

C C I I C R R R C R R R R R R C R I R C I C C I I C R C

UIN

UIS

C C I I C R R R C R R R R R R C R I R C I C C I I C R C

C C I I C R C C R R R R R R R R R R R R R R R R R C R C

UGA CSI R R R R R R C C C C R C C R R C C C R C C C C I I R R C

C C I I C R C C C C R C R C C I C R R C C C C C C C R R

Gestión Documental

C C I I C R C C I I R C I R I I I I R C I C C I I I R C

Se establecieron los roles y responsabilidades sobre el diseño y la operación de los procesos, en cabeza de los líderes Caso Ecopetrol - A,León - Pág. 13

Gestión de Cambio

Se integró un frente de gestión de Cambio alineado con la estrategia de Implantación y Sostenibilidad Indicador de Entendimiento Global: encuesta

Indicador de Disposición: Test

ISACA Madrid - Jornadas Técnicas 2014

Indicador de entendimiento específico: $v. técnica

Caso Ecopetrol - A,León - Pág. 14

Factores Clave de Éxito y Lecciones Aprendidas (1/2) •

Enfoque de gestión por procesos.

•

Estructuración de la iniciativa como un Proyecto y Respaldo Pleno de la Dirección, Monitoreo frecuente.

•

Establecimiento de un frente de gestión de cultura, entrenamiento y acreditación de profesionales.

•

Apropiación, por parte de los dueños de los procesos, riesgos y controles.

•

Integración con las áreas involucradas e iniciativas relacionadas (internas y externas) generación de sinergias

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 15

Factores Clave de Éxito y Lecciones Aprendidas (2/2) •

Procedimiento de control de cambios establecido y aplicado.

•

Gestión sobre las lecciones aprendidas.

•

Definición de las estrategias y acciones de sostenibilidad

•

Fuerte interacción con auditorías

•

Acreditación por parte de terceros independientes y competentes

•

Apoyo en Consultorías de alto nivel.

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 16

Caso de Estudio Publicado en ISACA 2010 • Implementación COBIT 4.1 para Gobierno, Riesgo y Cumplimiento de TI. • Primera empresa latinoamericana y segunda empresa del sector oil&gas en publicar caso de estudio COBIT en ISACA. • Caso de Estudio referenciado en una Tesis de Maestría en Gestión de TI en la Universidad de Greenwich - UK >> • Caso de Estudio presentado en conferencias del IIA, ISACA y referenciado por varias empresas en procesos de implementación >> http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-Ecopetrol.aspx ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 17

Evolución y Madurez de los procesos de TI 3.9

4

3.8

3.9

4

2013

2014

2015

3.6

3

3

3

3

2009

2010

2011

2012

2

2008

Capacidad

Desempeño

Nivel de Madurez Optimizado

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 18

Mediciones de Madurez en Procesos 2008 Se realiza medición inicial e identificación de brechas. Informe >> Nivel promedio: 2 2009 Se realiza medición por parte de externo. Informe>> Nivel promedio 3

ISACA Madrid - Jornadas Técnicas 2014

2010

Se realiza medición por parte de externo. Informe>> Nivel promedio 3

2011

Se define modelo que integra medición de Capacidad y Desempeño de los procesos. Informe>>. Se aplica piloto.

2012

.

2013

Se realiza Medición, integrando Capacidad y Desempeño. Informe>>. Nivel promedio 3.7 Caso Ecopetrol - A,León - Pág. 19

Consolidación de la Gestión Integral por procesos y el Control Interno

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 20

Integración COBIT - ITIL •

Se comprobó la Viabilidad de la Alineación e Integración

•

Los modelos se complementan en Definición y Alcance

•

Se lograron procesos integrados que incorporan los controles en su diseño y operación

•

Se tienen cubiertos los Riesgos clave de los procesos

•

Se propicia la conformidad frente a los referentes de evaluación ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 21

Gestión de Riesgos Estratégicos de TI Con base en la Práctica COSO ERM – Se gestionan los riesgos empresariales de TI, sobre los procesos.

Se aplica el ciclo anual de Planeación, Identificación, Valoración, Tratamiento, Monitoreo y Comunicación de riesgos empresariales de TI.

Planear

Monitorear

Identificar

Productos en gestión permanente:

Comunicar

Tratar

• Lista de Riesgos, alineados con objetivos de procesos

Evaluar

PROBABILIDAD Prácticamente imposible que ocurra el próximo año

IMPACTO

Ha ocurrido en la Industria

Catastrófico

5

Mayor

4

Moderado

3

Menor

2

Insignificante

1

Ninguno

0

Poco probable que ocurra el próximo año

Es posible que Bastante probable Ocurrirá con alto ocurra el próximo que ocurra el nivel de certeza el año próximo año próximo año

Ha ocurrido en los Ha ocurrido en los Ha ocurrido en el últimos 10 años últimos 5 años último año en Ecopetrol

Ha ocurrido más de una vez en el último año

Raro

Improbable

Posible

Probable

Con Certeza

A

B

C

D

E

• Matrices RAM • Planes de Tratamiento y KRI´s • Reportes de mensuales de Monitoreo

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 22

Resultados

– Madurez en Procesos

Los procesos de TI se establecieron e integraron al SGCI y Centro de Servicios Compartidos. La madurez en procesos se estabilizó en Nivel 3 y se mide en Capacidad y Desempeño

3,9

4

3,8

3,9

4

2013

2014

2015

3,6

3

3

3

3

2009

2010

2011

2012

2

2008

Capacidad

Desempeño

Nivel de Madurez Optimizado

ISACA Madrid - Jornadas Técnicas 2014

• 2009 - Adopción de Modelo de Referencia COBIT e Implantación de 28 Procesos, priorizados 14 SOX • 2010 – Consolidación con el Sistema de Gestión Integral e Incorporación a Servicios Compartidos • Evaluación de Madurez (Capacidad), con informe comparativo por Sector, Región e Industria • 2011 - Se entrega Modelo de Madurez (Capacidad – Desempeño), incluyendo los elementos del SIGC. • 2013 Medición de Madurez de los Procesos de TI bajo el marco del SGCI en capacidad y desempeño. Nivel de Madurez en Capacidad: 3.8 y en Desempeño: 3.6 Caso Ecopetrol - A,León - Pág. 23

Resultados

– Madurez en Procesos – 2009-2010 Estado de los procesos AI1- Identificar soluciones automatizadas

DS13- Administrar las Operaciones

5

Medición del Proceso 2010 Medición del Proceso 2010 Medición del Proceso 2009 Medición del Proceso 2009 Madurez objetivo Madurez objetivo

AI2- Adquirir y mantener software aplicativo

4

DS12- Administración del Ambiente Físico

3

AI3- Adquirir y Mantener Infraestructura Tecnológica

2

DS11- Administrar los Datos

1

AI4- Facilitar la operación y el uso

0

DS9- Administrar la Configuración

DS8- Administrar la Mesa de Servicio y los Incidentes

DS5- Garantizar la Seguridad de los Sistemas

ISACA Madrid - Jornadas Técnicas 2014

AI6- Administrar cambios

AI7- Instalar y acreditar soluciones y cambios

DS2- Administrar Servicios Prestados por Terceros DS4- Gestión de Continuidad Tecnológica

Caso Ecopetrol - A,León - Pág. 24

Resultados

– Madurez en Procesos - 2013 - 2014

Nivel de Capacidad

Promedio Actual Deseado

Nivel de Desempeño

Resultado Promedio 2013

Nivel deseado 2014

Resultado Promedio 2013

Nivel deseado 2014

3.8

3.9

3.6

3.9

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 25

Resultados de Cumplimiento Racionalización de Controles Los controles clave de TI se establecieron y han sido afinados con criterios de Racionalización y Optimización n basado en riesgos. Se proyecta estabilidad en la cantidad actual de 53 controles. DTI

UTI

111

86

39

34 23

0

0

2009

2010

5 2011

22

28

25

11

2012

2013

ISACA Madrid - Jornadas Técnicas 2014

2014

• Establecimiento de Riesgos y Controles clave • Prioridad sobre riesgos relacionados con Disponibilidad, Integridad y Confidencialidad de la Información • Énfasis en cobertura de aplicaciones Financieras y Críticas de Negocio • Formalización en asignación de responsabilidades y aseguramiento de evidencias • Racionalización y Optimización, basada en criterios de Riesgos • Actualmente, 28 controles de Gobierno de TI y 25 de Operaciones de TI. Caso Ecopetrol - A,León - Pág. 26

Resultados - Nivel de Cumplimiento de controles El nivel de Cumplimiento se ha incrementado y estabilizado, con base en los procesos y apalancado por las autoevaluaciones, ciclos permanentes de Monitoreo y aseguramiento de las acciones de mejora identificadas. 120% 100% 80%

90%

96%

97%

98%

2010

2011

2012

93%

98% 100%

70%

60% 40% 20%

• Se desarrollan Ciclos de Monitoreo Permanente con realimentación y aseguramiento de Acciones de Mejora • Se apoya en la Inspección de evidencias, generación de ajustes en diseño y operatividad de controles • Se refuerza con las autoevaluaciones por parte de los responsables de los procesos. • Alineación con el indicador de Control Interno empresarial

0% 2008

2009

ISACA Madrid - Jornadas Técnicas 2014

2013

2014

2015 Caso Ecopetrol - A,León - Pág. 27

Resultados de Cumplimiento Hallazgos de Auditoría Las Auditorias Internas se realizan con énfasis en el aseguramiento de los controles SOX, desarrollando ciclos de evaluación sobre diseño y operatividad, formalizando y asegurando los planes de mejora requeridos. Diseño

Operación

68

70

20 65 42

20

2008

ISACA Madrid - Jornadas Técnicas 2014

16 0

2009

2010

2011

2 4

2012

8 6

2013

3

2014 Caso Ecopetrol - A,León - Pág. 28

Resultados de Cumplimiento

Acciones de Mejora

Se identifican las acciones hacia su causa raíz, ra z, asegurando el cumplimiento y evaluación n de la efectividad de las mismas, proyectadas hacia el indicador de transparencia.

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 29

Resultados de Cumplimiento Auditorías Externas

En las Auditorías Auditor as Externas no se han reportado hallazgos de controles inefectivos a cargo de TI.

Se han identificado controles Efectivos con oportunidades de mejora para los cuales, se ejecutaron Planes de Acción

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 30

Consolidación del Proceso de TI - 2012 Integrados al Sistema de Gestión y Control Empresarial. Incorpora trazabilidad con el Compendio de Mejores Prácticas adoptado y los Objetivos de Control definidos. Establece las funciones de Gobierno y Gestión de TI ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 31

Alineación con COBIT 5

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 32

Análisis de COBIT 5 2009 Implementación de COBIT 4.1 2010 Conocimiento de los borradores de COBIT 5 y generación de aportes a ISACA 2011 Estudio detallado de los borradores de COBIT 5 y generación de aportes a ISACA

2012 Estudio detallado de los documentos finales de COBIT 5 y análisis para proyección de alineación y extensión hacia COBIT 5, como un referente en Gobierno de TI. 2013 Inicia la Alineación con prácticas COBIT 5 ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 33

Caso de Estudio Publicado en ISACA 2014 • Alineando el para Gobierno, Riesgo y Cumplimiento de TI con COBIT 5. • Con base en los procesos de TI implementados con el referente COBIT 4.1 • Aprovechando las mejoras propiciadas por la consolidación organizacional, • la función de TI se articula con el Sistema de Gestión Integral por Procesos Empresarial, • logrando una madurez que se alinea con los principios, catalizadores y procesos de COBIT 5. http://www.isaca.org/Knowledge-Center/cobit/cobit-focus/Pages/COBIT-Focus-Volume-3-July-2014.aspx#1 ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 34

PROCESOS COBIT 5

Tomamos los procesos definidos por COBIT 5 para mapearlos con los procesos de Ecopetrol aplicados a la función de TI

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 35

MARCO DE PROCESOS ECOPETROL VS. COBIT 5

3

3

Gestión de Portafolio de programas y Proyectos de TI

3

3

Implementación de Programas y Proyectos de TI

3

3

3 3

3

3

3

3

3

3

3

3

Seguridad Informática

3

3

3

3

3

Continuidad del Servicio de TI

3

3

Configuración y activos de TI

3

3

3

3

3

3

3 3

Capacidad de TI

3

3

3

3

Disponibilidad de TI

3

3

3

3

3

3

3

Cambios de TI

3

3

3

Requerimientos de TI

3

Problemas de TI

3

Eventos de TI

3

Incidentes de TI Planeación estrategica Planeación del desarrollo de nuevos negocios

3 3

Planeación del desarrollo de programas y proyectos Planeación del desarrollo y alineación Organizacional

3 3

3

3 3

3

MEA03

3 3

3

MEA02

DSS06

MEA01

DSS05

DSS04

DSS03

DSS02

DSS01

BAI09

BAI010

BAI08

BAI07

BAI06

3 3 3

Programación de Programas y Proyectos de TI

BAI05

BAI04

BAI03

3 3

Formulación de iniciativas de TI

Procesos Ecopetrol

BAI02

BAI01

APO13

APO12

APO11

APO10

APO09

APO08

APO07

3

APO06

3

APO05

APO02

3

APO04

APO01

3

Gestión de Arquitectura Empresarial

APO03

EDM05

3

EDM04

3

EDM03

EDM02

Formulación de la Estrategia de TI

EDM01

Procesos COBIT 5

3

3

3

3

3 3

3

3

3

3

3

3

3

3

3

3

3

3 3

3

3 3

3

3

3

Otros procesos

Priorización de inversiones y planeación financiera Implementación de nuevos negocios

3

3

3

3

3

3

3

Implementación de programas / proyectos

3

3

3

3

3

3

3

Planeación operativa integrada de cadena de suministro Implementación del desarrollo y alineación organizacional

3 3

3

3

3

3

3

Gestión de cadena de suministros Gestión de Tecnología de negocio

3 3

3

3

3

3

3

3

Gestión de Talento Humano

3

3

Gestión de abastecimiento

3

Gestión financiera Evaluación, seguimiento y control de la gestión

3

Verificación objetiva interna

3

Otras prácticas

3

3

3

ISACA Madrid - Jornadas Técnicas 2014

3

3

3

3

3

3 3

3

3

3

3

3

3

3

3

Caso Ecopetrol - A,León - Pág. 36

EVOLUCIÓN DE ECOPETROL EN FUNCIÓN DE LOS PRINCIPIOS COBIT 5 Principios COBIT 5

Nivel de Evolución y cobertura de componentes por parte de Ecopetrol - TI Generación de Valor

Gestión de realización de Beneficios

Satisfacer las Necesidades de las Partes Interesadas

Optimización de Riesgos Aseguramiento de valor por medio de la cascada de Metas Gestión de Información y tecnologías asociadas ,como activo s transversales de la Compañía Extensión de los catalizadores de TI para el Gobierno y gestión a través de toda la organización

Cubrir la Empresa de extremo a extremo

Aplicar un marco de referencia Único Integrado Hacer posible un enfoque Holístico (Integral, como un todo)

Separar el Gobierno de la Gestión de TI

ISACA Madrid - Jornadas Técnicas 2014

Gestionar de forma integral Gobierno Corporativo , las TI y la información de la e empresa Alineación de marco de gobierno y gestión a través de toda la organización Estandarización de practicas de gestión (Riegos, controles, información, innovación, seguridad, entre otras)

Definición a nivel empresarial de componentes interactivos para la gestión integral de todos los aspectos de gobierno (TI, RRHH, Producción…) Cobertura de Catalizadores Definición de estructuras organizativas para la gestión independiente y/o especializada del gobierno y la gestión de TI Bajo nivel de definición En progreso y maduración Definido y en adopción

Caso Ecopetrol - A,León - Pág. 37

EVOLUCIÓN DE ECOPETROL – TI EN FUNCIÓN DE LOS CATALIZADORES COBIT 5 Catalizadores COBIT 5.0

Nivel de Evolución y cobertura de componentes por parte de ECP / TI

Principios, políticas y marcos de referencia

Establecimiento de guías practicas, marcos de gestión, definición de políticas y aplicación de principios para la gestión de TI y la Organización.

Los procesos

Definición y adopción de marco de Gestión basado en procesos para lograr objetivos de la organización.

Las estructuras organizativas

Definición de estructuras organizacionales adecuadas para el gobierno y gestión de la organización

La cultura ética y comportamiento

Generación de prácticas orientadas al fortalecimiento de cultura de transparencia, ética, desarrollo, empoderamiento, sentido de pertenencia y reciprocidad dentro del desarrollo de las actividades de gobierno y gestión

La Información

Implementación de prácticas transversales de seguridad y gestión de la información, implementando consideraciones de calidad, uso, estandarización, capitalización del conocimiento, brindándole a la información un tratamiento y estatus de activo de la compañía.

Los servicios, Infraestructura y aplicaciones

Definición e implementación de estructura de servicios, soportados por procesos que gobiernan y gestionan la tecnología requerida, su infraestructura y aplicaciones dentro de un marco de valor, calidad, seguridad y continuidad.

Las personas habilidades y competencias

Definición de entornos y prácticas orientadas a fortalecimiento de recursos y capacidades de las personas que habilitan los procesos y servicios. (Gestión de desempeño de personas, planes de carrera, formación, capacitación, desarrollo de competencias.. Entre otros)

ISACA Madrid - Jornadas Técnicas 2014

Bajo nivel de definición En progreso y maduración Definido y en adoptado

Caso Ecopetrol - A,León - Pág. 38

EL MODELO DE EVALUACIÓN

DE

PROCESOS CUBRE EL ENFOQUE DE COBIT 5 ®

Modelo de Evaluación de Procesos de Ecopetrol

Cobit 4.15 ®

Atributos Genéricos de Capacidad y Desempeño Inexistente

Repetible

Inicial

0

1

Definido

3

2

Administrad o

4

Optimizado

5

Modelo de Evaluación de Procesos de TI Ecopetrol - Indicadores de Capacidad Estrategia y Direcciona miento

Gente

Operaciones

Riesgos y Controles

Recursos

Información Monitoreo & & Mejora Conocimient

Modelo de Evaluación de Procesos Indicadores de Gestión rendimiento/Desempeño

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 39

EL MODELO DE EVALUACIÓN

DE

PROCESOS CUBRE EL ENFOQUE DE COBIT 5 ®

Atributos cubiertos por el modelo de evaluación de Ecopetrol vs. definido por Cobit 5 ►

EL modelo actual de evaluación de procesos de Ecopetrol incorpora elementos claves de mejores prácticas como PMI, COBIT, ITIL, ISO 27000, TOGAF. Adicionalmente, aborda la evaluación de madurez de los procesos bajo las perspectivas de “capacidad” y “desempeño” lo que permite tener un marco de evaluación comparable con el adoptado por COBIT 5®.

►

En la evaluación de procesos, es importante analizar dentro de la función de tecnología las actividades y/o proceso relacionados con la Innovación y Optimización, puntos importantes resaltados en COBIT ® 5.0

►

De igual forma hay un énfasis significativo en las estructuras de gobierno de la Información y relacionamiento con el negocio para lograr mayor alineación y penetración con el negocio y optimizar los temas relacionados con la seguridad de la información.

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 40

Alineación con COBIT 5 – Conclusiones (1/2) •

Se comprobó la alineación de la función con el marco COBIT 5 (Principios, Catalizadores y Procesos).

•

La extensión se genera de una vista integrada y fuerte orientación a la gestión por procesos, medición y mejora continua.

•

Se requieren esfuerzos de sostenibilidad basados en la cultura y modelos operativos

•

Se proyecta como referente para Acreditación. ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 41

Alineación con COBIT 5 – Conclusiones (2/2) •

Esta iniciativa implica esfuerzos importantes, pero propicia impactos positivos sobre la fiabilidad del sistema de control interno de la empresa, generando claramente información confiable que apoya los procesos y la estrategia de negocio.

•

La implementación de COBIT 5 sobre un modelo de procesos de operación basado en una versión anterior requiere una estrategia que permita el aprovechamiento de las nuevas prácticas sin afectar los resultados actuales. Basado en la apropiación, la articulación y la comunicación con todos los involucrados

•

La evaluación de la madurez sobre la capacidad y el desempeño de los procesos, es una fuente importante para determinar las oportunidades de mejora y sostenibilidad. Debe ser permanente y estricta en su metodología, competencias de los evaluadores y participación de los dueños de proceso

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 42

Resultados y factores de éxito RESULTADOS: •

Impacto en la confiabilidad de la información

•

Confianza en el sistema de control interno de TI

FACTORES DE ÉXITO:

•

El proceso de implementación y sostenibilidad del modelo

•

Integración y articulación con temas organizacionales asociados,

•

Evaluación interna y externa permanente,

•

Gestión sobre la cultura,

•

Apoyo en servicios de consultoría efectivos

•

Gestión sobre lecciones aprendidas

ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 43

Logros del Talento Humano - Gente Ecopetrol Ejecutivos: • Javier Gutierrez – Presidente • Nestor Saavedra – Vicepresidente de Innovación y Tecnología • Jorge Gómez – Director de Tecnología de Información

• José Isaías Martínez – Jefe Unidad de Gestión y Arquitectura • Jeimy Cano – Coordinador de Seguridad de Información • William Mora – Jefe Unidad Servicios Compartidos de TI Equipos de trabajo de las áreas: Vicepresidencia de Servicios y Tecnología (2009-2011), Dirección de Tecnología de Información, Unidad Servicios Compartidos de TI, Vicepresidencia Financiera, Vicepresidencia de Estrategia y Crecimiento, Vicepresidencias Ejecutivas del Upstream y Downstream, Dirección de Servicios Compartidos, Dirección de Auditoría Interna, Dirección de Abastecimiento, Unidad de Ética y Cumplimiento, Unidad de Gestión de Riesgos, Coordinación de Aseguramiento SOX, Comité temático de control interno, consultores, contratistas y Outsourcing de TI. ISACA Madrid - Jornadas Técnicas 2014

Caso Ecopetrol - A,León - Pág. 44

Para uso restringido en Ecopetrol S.A. Todos los derechos reservados. Ninguna parte de esta presentación puede ser reproducida o utilizada en ninguna forma o por ningún medio sin permiso explícito de Ecopetrol S.A.

Alberto León Lozano [email protected]